„Die Urheber dieser Malware nutzen aus, dass zur Weihnachtszeit besonders viele Pakete verschickt werden. Daher ist der Inhalt der Mail für viele Empfänger plausibel und somit besonders gefährlich“, so Ralf Benzmüller, Leiter der G Data SecurityLabs.

Nach Erkenntnissen der G Data SecurityLabs stecken hinter der aktuellen Kampagne die Betreiber des ZeuS-Botnetzes.

Um welchen Schädling handelt es sich?

Der Screensaver ist mit einer Version des ZeuS-Trojaners infiziert. Nach erfolgter Infektion versucht die Malware weiteren Schadcode von diversen anderen Servern herunterzuladen. Einige dieser URLs verweisen auf .exe Dateien, die nach bisherigen Analysen aber identisch sind mit shipping_invoice.scr.

Zusätzlich versucht der Trojaner auf den infizierten Rechnern mit dem Windows Explorer einen TCP-Port zu öffnen, um so eine Verbindung mit dem Command & Control Server der Täter herzustellen.

Nach Analysen der G Data SecurityLabs scheint das Trojanische Pferd nicht nur den Windows Explorer zu manipulieren, sondern klinkt sich auch in laufende Programme ein, um die verarbeiteten Daten unbemerkt abzugreifen – beispielsweise die im Browser eingegebenen Log-In Daten für Onlinebanking.

Bis zum Weihnachtsfest rechnet G Data mit einer Zunahme von Phishing- und Malware-Spam, die sich als Rechnungen, Bestellbestätigungen oder Informationen über aktuelle Paketzustellungen tarnen.

Text der aktuellen Spam-Mail

+++++++++++++++++

Sehr geehrter Kunde,

Ihr Paket wurde zugestellt.

Die Paketverfolgungsnummer lautet: 1Z45AR920283681749 Sie können die Sendung hier online verfolgen:
http://XXX.ups.com/tracking/XXXX
Die Versandrechnung können Sie hier herunterladen:
http://XXX.ups.com/tracking/invoices/download.XXXXXX

Vielen Dank,
United Parcel Service

*** Dies ist eine automatisch generierte E-Mail, bitte antworten Sie nicht darauf! ***

G Data-Kunden sind vor dem aktuellen ZeuS-Angriff bereits geschützt.

Quelle: G Data